LES DOSSIERS TECHNIQUES
LA GESTION DES RISQUES
-
Concepts et méthodes
Révision 1 du 28 janvier 2009
Espace Méthodes
CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS
30, rue Pierre Sémard, 75009 PARIS
Tél. : +33 1 53 25 08 80 – Fax : +33 1 53 25 08 88 – e-mail
Web
: http://www.clusif.asso.fr
Gestion des risques © CLUSIF – 2008/2009 3
Table des Matières
1 Introduction .............................................................................. 6
2 Résumé.................................................................................... 7
2.1 Identification des situations de risque ........................................ 7
2.2 Options dans le mode de gestion des risques ................................ 7
2.3 Options d’outillages et de bases de connaissances.......................... 7
3 Principes généraux et définitions du risque ......................................... 8
3.1 Concepts de base................................................................. 8
3.1.1
Les actifs ................................................................................8
3.1.2
La dégradation subie par un actif....................................................9
3.1.3
Les conséquences subies par l’entité ...............................................9
3.1.4
La cause, non certaine, de la dégradation subie par un actif ...................9
3.1.5
La notion de menace ................................................................ 10
3.1.6
La notion de vulnérabilité........................................................... 10
3.2 Définition du risque .............................................................11
3.2.1
Le risque défini par l’ensemble « actif, menace » ou « actif, menace,
vulnérabilités exploitées ».......................................................... 12
3.2.2
Le risque défini par un scénario.................................................... 12
4 Options fondamentales de gestion des risques.....................................14
4.1 La gestion directe et individualisée des risques ............................14
4.2 La gestion globale et indirecte des risques..................................15
4.3 Définition du risque et type de management ...............................16
5 L’identification des risques ...........................................................19
5.1 L’identification des actifs critiques (ou susceptibles de l’être)..........19
5.2 L’identification des menaces et vulnérabilités .............................21
5.3 L’identification des scénarios de risque .....................................22
6 L’estimation des risques identifiés...................................................24
6.1 L’estimation des risques pour leur gestion individualisée.................24
6.1.1
L’évaluation des enjeux ou des conséquences du risque....................... 24
6.1.2
L’évaluation de la probabilité de survenance du risque........................ 25
6.1.3
L’évaluation des effets des mesures de sécurité ................................ 27
6.1.4
L’estimation des niveaux de risque................................................ 29
6.1.5
Influence du mode de définition du risque ....................................... 29
6.2 L’estimation des risques pour leur gestion globale.........................29
6.2.1
L’estimation des enjeux ou des conséquences du risque....................... 30
6.2.2
L’estimation du niveau de menace ................................................ 30
6.2.3
L’estimation du niveau de vulnérabilité .......................................... 31
6.2.4
L’estimation du niveau de risque .................................................. 32
7 L’évaluation des risques identifiés...................................................33
Gestion des risques © CLUSIF – 2008/2009 4
7.1 L’évaluation des risques pour leur gestion individualisée .................33
7.2 L’évaluation des risques pour leur gestion globale.........................33
8 Le traitement des risques .............................................................34
8.1 La réduction directe des situations de risque critiques....................34
8.1.1
La réduction directe des risques s’appuyant sur une base de connaissances 34
8.1.2
La réduction directe des risques par les responsables d’activité, de projet ou
de processus .......................................................................... 35
8.2 Le traitement indirect des risques types critiques .........................36
8.2.1
Transformation des vulnérabilités à réduire en objectifs de sécurité........ 38
8.2.2
Analyse détaillée des vulnérabilités à réduire pour décider des éléments
d’une politique de sécurité......................................................... 39
8.3 Le transfert du risque...........................................................39
9 Communication sur les risques .......................................................40
Gestion des risques © CLUSIF – 2008/2009 5
R
EMERCIEMENTS
Le CLUSIF tient à remercier particulièrement les membres de l’espace Méthodes
qui ont rendu possible la réalisation de ce document, à savoir :
Dominique BUC BUC SA
Olivier CORBIER DOC@POST
Éric DERONZIER YSOSECURE
Jean-Philippe JOUAS CLUSIF
Gérard MOLINES MOLINES CONSULTANTS
Jean-Louis ROULE CLUSIF
Merci également à notre partenaire du Québec, Martine GAGNE, dont la relecture
attentive et pertinente a été précieuse.
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
1
/
42
100%